JP2013114614A - 情報流通システムとそのアクセス制御方法 - Google Patents
情報流通システムとそのアクセス制御方法 Download PDFInfo
- Publication number
- JP2013114614A JP2013114614A JP2011262807A JP2011262807A JP2013114614A JP 2013114614 A JP2013114614 A JP 2013114614A JP 2011262807 A JP2011262807 A JP 2011262807A JP 2011262807 A JP2011262807 A JP 2011262807A JP 2013114614 A JP2013114614 A JP 2013114614A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- data
- information
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【解決手段】データ要求側PC1及びデータ提供側PC2に当該装置が保存しているデータに対するアクセス制御情報を保存しておくと共に、アクセス制御機能振り分け機能部13,23を新たに備える。そして、このアクセス制御機能振り分け機能部13,23により、リクエストが発生したとき、その内容を上記保存されているアクセス制御情報に記述された条件と比較してアクセス制御条件を満たしているか否かを判定し、アクセス制御条件を満たしている場合にはデータ要求側PC1又はデータ提供側PC2内でアクセス制御を実行し、上記アクセス制御条件を満たしていない場合にはアクセス制御を集中管理PC3に振り分けて実行させる。
【選択図】図2
Description
利点;データへのアクセス制御判定のための条件文は、当該データを保有するデータ提供側PCごとに管理される。また、アクセス制御処理は、データ要求側PCからのデータ要求リクエストと併せて、データ提供側PC内でアクセス制御判定を実施することで、情報流通時の通信回数は低減される。このため、情報流通の処理速度に与える影響は小さい。また、前述したものとは別のデータ要求側PCとデータ提供側PC間の情報流通に影響は与えない。
問題点;その一方で、ユーザは自分のデータが管理されている複数の提供側PCで、個別にアクセス制御判定のための条件文を作成しなければならない。
利点;当該データへのアクセス制御判定のための条件文を集中管理用PCで管理することで、ユーザは複数のデータ提供側PCにある自身のデータに対するアクセス制御判定のための条件文をリクエスト・レスポンスの文法・用語の違いを考えることなく、一元的に管理することができる。
問題点;その一方で、集中管理用PCを介したアクセス制御処理であるため通信回数は増え、情報流通の処理速度への影響度は大きくなる。また、全てのアクセス制御処理が集中管理用PCに集中するので、負荷の集中に伴う全体の情報流通への影響が出る可能性がある。
この発明は上記事情に着目してなされたもので、その目的とするところは、上述した二律背反の問題に対し、ユーザのアクセス制御設定の操作性を損ねることなく、情報流通の処理速度と運用効率の向上を図った情報流通システムとそのアクセス制御方法を提供することにある。
すなわち、自装置が保存するデータに対するアクセス制御に必要な条件が記述されたアクセス制御情報を保存しておく。そして、上記データ要求側装置において上記アクセス要求が生成されたとき、当該アクセス要求の内容を表す情報を取得し、この取得されたアクセス要求の内容を表す情報を上記保存されているアクセス制御情報に記述された条件と照合してアクセス制御条件を満たしているか否かを判定する。この判定の結果、上記アクセス制御条件を満たしている場合には、上記取得されたアクセス要求の内容を表す情報及び上記保存されているアクセス制御情報に基づいて、提供対象のデータに対するアクセス制御を自装置内で実行する。これに対し、上記アクセス制御条件を満たしていない場合には、上記集中管理装置にアクセス制御を振り分けて当該集中管理装置のアクセス制御手段にアクセス制御を実行させるようにしたものである。
第1の態様は、上記データ要求側装置及びデータ提供側装置の少なくとも一方が、上記取得されたアクセス要求の内容を表す情報が上記自装置内でのアクセス制御に必要な情報要素を全て含んでいるか或いは不足しているかを判定し、必要な情報要素が不足していると判定された場合に、上記集中管理装置に対し問い合わせを行って該当するアクセス制御情報を再取得する処理を、さらに実行するようにしたものである。
このようにすると、集中管理装置が管理するアクセス制御情報が不十分な場合に、半永久的にアクセス制御情報の再取得処理が繰り返される不具合は防止される。
[一実施形態]
(構成)
図1は、この発明の一実施形態に係る情報流通システムの機能構成を示すブロック図である。
この情報流通システムは、複数のデータ要求側パーソナル・コンピュータ(以後PCと略称する)1と、複数のデータ提供側PC2と、少なくとも一つの集中管理用PC3とを備え、これらのPC間で通信ネットワーク4を介して情報流通のための通信を行えるようにしたものである。
(1) データ要求側PC1から、その情報流通制御機能部12により生成されたリクエスト内容を取得する処理。リクエストは、データ要求側PC1の利用者の入力操作により作成される。
(2) 後述する処理振り分け判定機能において振り分け判定に必要な情報が不足し、当該処理振り分け判定機能から必要情報の取得要求を受け取った場合に、集中管理用PC3のID連携制御機能部31或いは情報流通制御機能部32に対し問い合わせを行い、上記必要な情報を再取得する処理。
(3) 上記アクセス情報再取得処理により取得要求を送信したにもかかわらず、処理振り分け判定機能から再度取得要求を受け取った場合に、アクセス制御処理振り分け処理を中止して、集中管理用PC3のアクセス制御機能部33を呼び出す処理。
(1) データ要求側PC1の情報流通制御機能部12により生成されたリクエスト内容を、処理振り分け設定情報取得機能により取得された振り分け条件と比較する。そして、リクエスト内容が振り分け条件に適合すると判定された場合には、自己のデータ要求側PC1或いはデータ提供側PC2のアクセス制御機能部14,24を呼び出し、当該アクセス制御機能部14,24に対してアクセス制御処理を要求する。一方、リクエスト内容が振り分け条件に適合しないと判定された場合には、集中管理用PC3のアクセス制御機能部33を呼び出し、当該アクセス制御機能部33に対してアクセス制御処理を要求する処理。
(2) 上記アクセス情報取得機能により取得された必要情報が、処理振り分け判定処理に必要な全ての情報を持っていない場合に、上記アクセス情報取得機能に対し再度必要情報の取得要求を送信する処理。
アクセス制御条件文反映機能は、ユーザが集中管理用PC3のアクセス制御設定アプリケーション実行部34を用いてアクセス制御文を入力し設定した際に、当該アクセス制御文の中身を解析して、対象データを保管するデータ提供側PC2のアクセス制御用データ記憶部28に当該条件文を書き込む処理を実行する。
次に、以上のように構成された情報流通システムによるアクセス制御動作を説明する。
情報流通システムの運営組織あるいは人物として、集中管理用PC3の運用者と、データ要求側PC1或いはデータ提供側PC2の運用者と、ユーザが存在する。
集中管理用PC3の運用者は、集中管理用PCの運営組織に属し、集中管理用PC3の運営権を持つ。データ要求側PC1あるいはデータ提供側PC2の運用者は、自PC1,2の運営組織に属し、自PC1,2の運営権と集中管理用PC3で管理されている自組織のデータ操作権を持つ。ユーザは、複数のデータ要求側PC1或いはデータ提供側PC2運営組織に属し、情報流通のリクエスト・レスポンスと、アクセス制御に関する機能や設定変更を処理する情報流通用アプリケーションを操作する権限を持つ。ただし、集中管理用PC3の運用者は、データ要求側PC1或いはデータ提供側PC2の運用者を兼ねても構わない。
先ず集中管理用PC3では、情報流通サービスを開始しようとする、複数のデータ要求側PC1或いはデータ提供側PC2の運営組織で管理されているユーザのデータを紐づける処理と、情報流通を行うためのリクエスト・レスポンス及びアクセス制御の設定についてメンテナンスを行う処理が、以下のように行われる。
すなわち、データ提供側PC2の運用者は、自己のPCの情報流通用データ記憶部29で管理している情報流通用データに対するアクセス制御処理を自己のPCで処理する場合には、インストールしたアクセス制御処理振り分け処理プログラムの中の、処理振り分け設定情報取得機能により取得する処理振り分け設定情報に振り分け条件を記述する。このとき、処理振り分け設定情報はデータベースとして保持しても、また設定ファイルとして保持しても構わない。
データ要求側PC1、情報流通用アプリケーション実行部15,25,35により表示された入力画面を利用して、その運用者又はユーザが、データ提供側PC2の情報流通用データ記憶部29に記憶されているデータに対する登録、変更又は削除等のデータ操作を行うために、リクエストを作成するための情報、例えば「誰が」、「どのデータに」、「どうしたいか」を表す情報を入力したとする。なお、このリクエストに必要な情報の入力は、情報流通用アプリケーション実行部15,25,35により表示される入力画面を利用して行われる。
すなわち、上記リクエストを受信するとアクセス制御処理振り分け機能部23は、先ずステップS1において、当該受信されたリクエストから必要情報、つまり「誰が」、「どのデータに」、「どうしたいか」を表す情報を取得する。続いてステップS2において、データ要求側PC1或いはデータ提供側PC2の運用者又はユーザの権限の下で予め設定された処理振り分け設定情報を取得する。次にステップS3において、上記ステップS1により取得された必要情報に処理振り分け判定処理に必要な情報が全て含まれているか否かを判定する。そして、処理に必要な情報が不足していると判定された場合には、上記ステップS1に対し必要情報の再取得を要求する。
以上詳述したようにこの実施形態では、データ要求側PC1及びデータ提供側PC2に当該装置が保存しているデータに対するアクセス制御情報を保存しておくと共に、アクセス制御機能振り分け機能部13,23を新たに備える。そして、このアクセス制御機能振り分け機能部13,23により、リクエストが発生したときその内容を上記保存されているアクセス制御情報に記述された条件と比較してアクセス制御条件を満たしているか否かを判定し、アクセス制御条件を満たしている場合にはデータ要求側PC1又はデータ提供側PC2内でアクセス制御を実行し、上記アクセス制御条件を満たしていない場合にはアクセス制御を集中管理PC3に振り分けて実行させるようにしている。
なお、この発明は上記実施形態に限定されるものではない。例えば、データ要求側PC1、データ提供側PC2及び集中管理用PC3は、PC以外にサーバにより構成してもよく、その他これらのデータ要求側装置、データ提供側装置及び集中管理装置の構成やその機能、処理振り分け設定情報の構成等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
Claims (6)
- 提供対象のデータを保存する複数のデータ提供側装置と、前記保存されたデータに対するアクセス要求を生成するデータ要求側装置と、前記複数のデータ提供側装置及びデータ要求側装置に対しネットワークを介して接続され、かつ前記複数のデータ提供側装置に保存されたデータに対するアクセス制御に必要なアクセス制御情報を保持すると共に、当該アクセス制御情報に基づくアクセス制御を実行するアクセス制御手段を備えた集中管理装置とを具備する情報流通システムにおいて、
前記データ要求側装置及びデータ提供側装置の少なくとも一方は、
自装置が保存するデータに対するアクセス制御に必要な条件が記述されたアクセス制御情報を保存する手段と、
前記データ要求側装置において前記アクセス要求が生成されたとき、当該アクセス要求の内容を表す情報を取得する手段と、
前記取得されたアクセス要求の内容を表す情報を、前記保存されているアクセス制御情報に記述された条件と照合し、アクセス制御条件を満たしているか否かを判定する手段と、
前記アクセス制御条件を満たしていると判定された場合に、前記取得されたアクセス要求の内容を表す情報及び前記保存されているアクセス制御情報に基づいて、提供対象のデータに対するアクセス制御を自装置内で実行する手段と、
前記アクセス制御条件を満たしていないと判定された場合に、前記集中管理装置にアクセス制御を振り分けて、当該集中管理装置のアクセス制御手段にアクセス制御を実行させる手段と
を備えることを特徴とする情報流通システム。 - 前記データ要求側装置及びデータ提供側装置の少なくとも一方は、
前記取得されたアクセス要求の内容を表す情報が、前記自装置内でのアクセス制御に必要な情報要素を全て含んでいるか或いは不足しているかを判定する不足判定手段と、
前記必要な情報要素が不足していると判定された場合に、前記集中管理装置に対し問い合わせを行って該当するアクセス制御情報を取得する再取得手段と
を、さらに備えることを特徴とする請求項1記載の情報流通システム。 - 前記不足判定手段及び再取得手段は、前記自装置内でのアクセス制御に必要な情報要素が全て取得できるまで、不足判定処理及び再取得処理を予め設定した回数を限度に繰り返し実行することを特徴とする請求項2記載の情報流通システム。
- 提供対象のデータを保存する複数のデータ提供側装置と、前記保存されたデータに対するアクセス要求を生成するデータ要求側装置と、前記複数のデータ提供側装置及びデータ要求側装置に対しネットワークを介して接続され、前記複数のデータ提供側装置に保存されたデータに対するアクセス制御に必要なアクセス制御情報を保持すると共に、当該アクセス制御情報に基づくアクセス制御を実行するアクセス制御手段を備えた集中管理装置とを具備する情報流通システムにおいて実行されるアクセス制御方法であって、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、自装置が保存するデータに対するアクセス制御に必要な条件が記述されたアクセス制御情報を記憶手段に保存する過程と、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記データ要求側装置において前記アクセス要求が生成されたとき、当該アクセス要求の内容を表す情報を取得する過程と、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記取得されたアクセス要求の内容を表す情報を、前記保存されているアクセス制御情報に記述された条件と照合し、アクセス制御条件を満たしているか否かを判定する過程と、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記アクセス制御条件を満たしていると判定された場合に、前記取得されたアクセス要求の内容を表す情報及び前記保存されているアクセス制御情報に基づいて、提供対象のデータに対するアクセス制御を自装置内で実行する過程と、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記アクセス制御条件を満たしていないと判定された場合に、前記集中管理装置にアクセス制御を振り分け、当該集中管理装置のアクセス制御手段にアクセス制御を実行させる過程と
を備えることを特徴とするアクセス制御方法。 - 前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記取得されたアクセス要求の内容を表す情報が前記自装置内でのアクセス制御に必要な情報要素を全て含んでいるか或いは不足しているかを判定する不足判定過程と、
前記データ要求側装置及びデータ提供側装置の少なくとも一方が、前記必要な情報要素が不足していると判定された場合に、前記集中管理装置に対し問い合わせを行って該当するアクセス制御情報を取得する再取得過程と
を、さらに備えることを特徴とする請求項4記載のアクセス制御方法。 - 前記不足判定過程及び再取得過程は、前記自装置内でのアクセス制御に必要な情報要素が全て取得できるまで、不足判定処理及び再取得処理を予め設定した回数を限度に繰り返し実行することを特徴とする請求項5記載のアクセス制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011262807A JP5377616B2 (ja) | 2011-11-30 | 2011-11-30 | 情報流通システムとそのアクセス制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011262807A JP5377616B2 (ja) | 2011-11-30 | 2011-11-30 | 情報流通システムとそのアクセス制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013114614A true JP2013114614A (ja) | 2013-06-10 |
JP5377616B2 JP5377616B2 (ja) | 2013-12-25 |
Family
ID=48710073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011262807A Active JP5377616B2 (ja) | 2011-11-30 | 2011-11-30 | 情報流通システムとそのアクセス制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5377616B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015087923A1 (ja) * | 2013-12-11 | 2015-06-18 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000010930A (ja) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | ネットワークシステムでのアクセス制御方法 |
JP2002269092A (ja) * | 2001-03-07 | 2002-09-20 | Hitachi Ltd | 会員情報管理システム |
JP2002324194A (ja) * | 2001-04-26 | 2002-11-08 | Hitachi Ltd | アクセス権管理方法 |
JP2006079194A (ja) * | 2004-09-07 | 2006-03-23 | Hitachi Ltd | ストレージネットワークシステム |
JP2009146350A (ja) * | 2007-12-18 | 2009-07-02 | Mitsubishi Electric Corp | サービス管理装置及びデータアクセス制御装置及びデータ検索方法 |
JP2011100361A (ja) * | 2009-11-06 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法 |
JP2011100362A (ja) * | 2009-11-06 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法 |
JP2011227697A (ja) * | 2010-04-20 | 2011-11-10 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |
-
2011
- 2011-11-30 JP JP2011262807A patent/JP5377616B2/ja active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000010930A (ja) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | ネットワークシステムでのアクセス制御方法 |
JP2002269092A (ja) * | 2001-03-07 | 2002-09-20 | Hitachi Ltd | 会員情報管理システム |
JP2002324194A (ja) * | 2001-04-26 | 2002-11-08 | Hitachi Ltd | アクセス権管理方法 |
JP2006079194A (ja) * | 2004-09-07 | 2006-03-23 | Hitachi Ltd | ストレージネットワークシステム |
JP2009146350A (ja) * | 2007-12-18 | 2009-07-02 | Mitsubishi Electric Corp | サービス管理装置及びデータアクセス制御装置及びデータ検索方法 |
JP2011100361A (ja) * | 2009-11-06 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法 |
JP2011100362A (ja) * | 2009-11-06 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法 |
JP2011227697A (ja) * | 2010-04-20 | 2011-11-10 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015087923A1 (ja) * | 2013-12-11 | 2015-06-18 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
JP2015114837A (ja) * | 2013-12-11 | 2015-06-22 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
US10262152B2 (en) | 2013-12-11 | 2019-04-16 | Finalcode, Inc. | Access control apparatus, computer-readable medium, and access control system |
Also Published As
Publication number | Publication date |
---|---|
JP5377616B2 (ja) | 2013-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11140176B2 (en) | Distributed topology enabler for identity manager | |
JP6491381B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス | |
RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
US8769653B2 (en) | Unified access control system and method for composed services in a distributed environment | |
US8763145B2 (en) | Cloud system, license management method for cloud service | |
EP2510466B1 (en) | Delegated and restricted asset-based permissions management for co-location facilities | |
US20130013767A1 (en) | System and method for managing software provided as cloud service | |
JP2013029994A (ja) | サーバー装置、情報処理方法及びプログラム | |
JP6584440B2 (ja) | 情報処理システム、情報処理ステムの制御方法およびそのプログラム。 | |
Jin et al. | Role and attribute based collaborative administration of intra-tenant cloud iaas | |
US20200092188A1 (en) | System and method for creating, deploying, and administering distinct virtual computer networks | |
CN101594386B (zh) | 基于分布式策略验证的可信虚拟组织构建方法及装置 | |
US20150156193A1 (en) | Creating and managing certificates in a role-based certificate store | |
US9985974B2 (en) | Securing services and intra-service communications | |
WO2018212854A1 (en) | Automatic takeover of applications installed on client devices in an enterprise network | |
JP5377616B2 (ja) | 情報流通システムとそのアクセス制御方法 | |
CA3162822A1 (en) | System and method for controlling access to project data and to computing resources therefor | |
CN114157581A (zh) | 提供区块链服务的方法、装置、存储介质和电子设备 | |
Costa et al. | Attribute based access control in federated clouds: A case study in bionformatics | |
CN108874923A (zh) | 虚拟物品分发方法、服务器及计算机可读存储介质 | |
US11579901B1 (en) | Provisioning engine hosting solution for a cloud orchestration environment | |
US20240064112A1 (en) | System and Method for Controlling Access to Project Data and To Computing Resources Therefor | |
US20220334884A1 (en) | Method to implement multi-tenant/shared redis cluster using envoy | |
JP2012137995A (ja) | リソース提供システム、アクセス制御プログラム及びアクセス制御方法 | |
JP2011197807A (ja) | アクセス制御システム、ポリシー生成方法、およびアクセス権限管理サーバ装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130515 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130917 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130924 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5377616 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |